LimeRAT

LimeRAT Descripción

LimeRAT es un troyano de acceso remoto simple que, sin embargo, ofrece un amplio conjunto de funcionalidades nefastas a los actores de amenazas. La amenaza está diseñada para infectar sistemas Windows y tiene una composición modular que se puede ajustar para actuar de acuerdo con las necesidades de los piratas informáticos. Puede establecer una puerta trasera en la máquina comprometida y ejecutar comandos arbitrarios. Si se le indica, LimeRAT puede implementar cargas útiles de cripto-mineros o iniciar una rutina de cifrado que bloqueará los tipos de archivos objetivo de una manera similar a las amenazas de ransomware. Además, todos los sistemas infiltrados con éxito se pueden agregar a las redes de bots.

Si esto no fuera suficiente, LimeRAT también puede actuar como un bloqueador de pantalla o un recolector de datos que recolecta datos y archivos privados y los exfiltra a su servidor de Comando y Control (C2, C&C). Toda la información cargada se cifrará primero mediante el algoritmo criptográfico AES. La amenaza de malware también puede detectar unidades USB conectadas al sistema infectado y utilizarlas para propagarse aún más.

LimeRAT tiene a su disposición múltiples técnicas de evitación de detección y anti-virtualización. Puede buscar signos de ejecución en una máquina virtual (VM) y desinstalarse si es necesario.

Infección a través de una antigua técnica de cifrado de Excel

LimeRAT se está difundiendo como documentos de Excel de solo lectura en una campaña de ataque detectada recientemente. Los documentos troyanizados se adjuntan a correos electrónicos de phishing dirigidos al grupo objetivo seleccionado. La decisión de utilizar documentos de solo lectura y no bloqueados es deliberada. Los archivos de solo lectura no requieren una contraseña para abrirse y también se pueden emplear en una antigua técnica de explotación de Excel. Cuando se ejecuta un archivo de este tipo, Excel intentará descifrarlo con una contraseña predeterminada incrustada: 'VelvetSweatshop', al tiempo que habilita las macros integradas y permite que la carga útil dañada inicie su cadena de ataque. El uso de esta técnica se remonta a 2013 y al exploit se le ha asignado la designación CVE-2012-0158. Aunque el problema se ha abordado hace mucho tiempo, parece que los ciberdelincuentes están volviendo a él una vez más en un intento de infectar a nuevas víctimas.